Hirdetés

  2. Fórumok
  3. Hálózat, szolgáltatók
  4. Mikrotik routerek
Keresés
  • Téma összefoglaló
    Utoljára frissítve: 2025-08-03 17:27

    PROHARDVER!

    Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Új hozzászólás Aktív témák

  • #12541 bacus őstag Core2duo6600 #12536
    Új Válasz #12541
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    bacus

    őstag

    válasz Core2duo6600 #12536 üzenetére

    "Mit értesz a
    Az átláthatóságot nagyban megkönnyíti, ha már az elején saját chainekbe rakja az ember a szabályokat, -on?"

    Nehéz ezt megfogalmazni, ha ezt a kérdést feltetted :)
    Irtál valaha is programot bármilyen nyelven? Basic-ben subrutinnak, más nyelveken prodecure -knek hívják, amikor a folyamatból kiugratsz egy kódrészletbe, majd az visszatér.
    Ilyesmi a saját chain is, pl azt szeretném, hogy bizonyos portokat használókról log bejegyzés készüljön, sőt bizonyos esetekben dobja el, vagy épp fogadja el a csomagot, stb, pl ki használ ftp-t.

    Itt lehet felvenni ilyen szabályokat az input chainbe (mondjuk 10 szabályból áll ez a rész), meg ugyan ezeket a szabályokat a forward chainbe is (ez újabb 10 szabály), de elegánsabb, ezt a 10 szabályt kiemelni egy saját pl FTPUSERS chainbe, majd egy egy jump utasitással beleugratni mindkét (input és forward) chainből ide, így azon kívül, hogy 12 szabálysor lett a 20 helyett, könnyebb átlátni, illetve nem marad el javítás mindkét chainbe...

    Amennyiben nincs illeszkedő szabály, akkor visszatér a jump utáni részbe a kiértékelés, ha van, akkor pedig ott befejeződik.

    Én általában létrehozok egy ICMP chaint, ahol a pingelés miatti szabályok vannak felvéve, ha kell logolni akkor sokszor van egy VIRUS chain, ami mondjuk az ismert portokat blokkolja, logolja, és persze egyéb PORTSCAN, UGYFELTIP1, UGYFELTIP2 (ügyfél tipus profilok), stb.

    Ugyan ezt meg lehet csinálni a NAT szabályoknál is, ott ugye az alap srcnat és dstnat chain-eket lehet bővíteni.

    Az átláthatóságot pedig azért növel, mert hiba kereséskor egyszerűen le tudod szűrni, hogy csak az adott chain szabályai látszódjanak, így nem kell 50-100 szabályt görgetni, átlátni, elég
    azt a releváns 5-10 szabályt átnézni egyszerre, illetve ezt kiegészítve a címlistákkal, pedig könnyen besorolhatóak az ügyfelek (külsősök) típusokba, ki mit ér el, mihez kap hozzáférést.

    Mielőtt még mazohistának néztek az alap tűzfal konfig messze nem ilyen bonyolult :)

  • #12537 Alteran-IT őstag Core2duo6600 #12536
    Új Válasz #12537
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Alteran-IT

    őstag

    válasz Core2duo6600 #12536 üzenetére

    Lenne amúgy egy olyan kérdésem, hogy mi a fenéért szopatod magad ezzel a hülyeséggel és miért van azon a WiFi-n külön hálózat, amit te is használsz? Mert épp ésszel nem bírom felfogni, ugyanis ezzel a routert is feleslegesen szopatod, mert 2-3x annyi tűzfalszabályt kell alkalmazni és ahogy elnézem itt hogy NAT szabállyal sikerült megoldani azt, amihez nem is kellene semmilyen szabály. Nem sokkal egyszerűbb lenne két WiFi hálózat és az egyik belső, a másik meg egy vendég, utóbbira meg minden olyan eszközt felengedhetsz, aminek kellene net, de nem kellene hogy lássa a belső hálón a dolgokat és a tiltást egyetlen egy szabállyal meg tudnád oldani a vendég hálózat esetén, max. akkor kellene kettő, ha a másik oldalról is külön blokkolnád a belátást, de felesleges.
    Egy kicsit is értelmesebb ember egy perc alatt egy MAC klónozással vagy hasonlóval kijátssza ezt a hülyeséget és ugyan úgy átlát, szóval csak saját magad szopatod, főleg hogy ahogy látom, nem is nagyon mennek a hálózati ismeretek, persze ezzel nem kötekedni akarok, csupán segíteni, de már nem tudok elmenni simán egy olyan "megoldás" mellett, amivel magadat is, meg a routert is szivatod és tényleg azt sem értem, első konfigurálásra miért nem ment még külön hálózaton sem, mert lefixálod az IP-ket, azt egy szabállyal megoldod, hogy 2.x-től 2.y-ig átlásson a 1.x-be, a többiről meg blokkolva, mert ugye engedélyezést alap esetben nem is kell szabállyal definiálni, csak a tiltást.
    Egyébként meg a két netes dolgot sem értem, mivel az idegen eszközöket nem muszáj másik netre kirakni hogy ne lásson át a te hálózatodba, ha meg csak az idegen eszközöket akarod megint leválasztani hogy ne terheljék a saját eszközök által használt netet, akkor megint megoldod két WiFi hálózattal, azt max. saját eszközzel váltogatsz köztük ha akarod hogy belásson az eszköz a hálózatba, vagy ha nem, sokkal egyszerűbb és nem muszáj mindig új szabályokat felvenni, mondjuk ha a fentebb említett módszerrel csinálod, akkor sem, csak a routinggal megint feleslegesen terheled a routered processzorát, de ha nagyon akarod a két hálózatos dolgot, akkor csináld úgy ahogy leírtam.
    De egyébként meg egy kis logikával azt is meg lehet nagyon egyszerűen csinálni, hogy csak egy hálózatod van és azon külön veszed a vezetékes eszközöket, meg a Wifi-seket IP alapján, utóbbiakat meg ugyan abból a hálózatból egy másik internetre NAT-olod azt jól van, ha CAPSMAN-al van a WiFi menedzselve, akkor talán az is könnyen megoldható, hogy ugyan abban a tartományban lévő eszközök ne lássák egymást, csak ahhoz a processzoron kell átmenni a forgalomnak és nem a switch-en, de ez is inkább konfiguráció kérdése, viszont még mindig nem szopatod magad vele annyira, meg a routert sem.

Új hozzászólás Aktív témák